-UC- Homebase

Jetzt wird's knifflig: Kennt sich hier jemand gut mit Small Business Server 2003 aus?

Wir würden gerne externen Mitarbeiter über VPN Zugriff auf bestimmte Verzeichnisse gewähren. Sie sollen aber wirklich nur auf diese Verzeichnisse zugreifen können und auf nichts anderes.

Nur leider hab ich keine Ahnung, welche Rechte ich verteilen muss und welche nicht.

Kann jemand helfen?

Ich kenn mich zwar jetzt nicht spezifisch mit 2003 aus, aber der VPN stellt ja nur die Verbindung zu deinem Netzwerk her. Die im Netz freigegebenen Verzeichnisse sollten ja hoffentlich eh nur Zugriff auf Benutzer/Gruppenebene bieten und der Zugriff für den Benutzer "jeder" sollte nur in Ausnahmefällen gewährt werden. Also entweder eine Gruppe anlegen, wenn die Benutzer alle auf die gleichen Daten Zugriff bekommen sollen und die Verzeichnisse unter Sicherheitseinstellungen für die Benutzer freischalten oder eben die Verzeichnisse einzeln für die jeweiligen Nutzer freischalten. Vorsicht, hier nicht mit "Freigegeben für" arbeiten sondern mit den Sicherheitseinstellungen der jeweiligen Verzeichnisse.

Versteh ich leider nicht so ganz.

Also es ist so: Ich habe jetzt einen neuen User eingetragen und ihm ein Passwort zugeteilt und Einwahlrechte gegeben.

Jetzt ist der User ja nu leider automatisch Mitglied von "Domänen-Benutzer" und hat damit Zugriff auf nahezu alles. Was genau muss ich als nächstes tun, damit der User nur auf zwei bestimmte Verzeichnisse Zugriff hat?

Eigentlich sollte der Domänen Benutzer noch keinen Zugriff auf alle Dateien erhalten. Für den Zugriff auf die Daten auf dem Server solltet ihr eigentlich entweder Benutzergruppen anlegen, die dann ensprechend in den Sicherheitseinstellungen für bestimmte Verzeichnisse freigeschaltet werden, oder wenn es nur eine Hand voll User insgesamt sind, kannst du das auch pro User machen.

Also nochmal langsam zum mitschreiben.

Man legt ein Verzeichnis an, daß ich im Netzwerk sichtbar haben will. Das gebe ich dann frei, entweder für den Benutzer "jeder" oder eben für Domänenbenutzer, je nachdem wie restriktiv ich das handhaben will. Alternativ kannst du das auch mit einer kompletten Festplattenpartition machen. Bei den Unterordnern, in die dann die eigentlichen Daten kommen. Dabei ist wichtig, daß bei den Unterordnern in den Sicherheitseinstellungen der Haken bei "vererbbare übergeordnete Berechtigungen übernehmen" entfernt wird. Dann kannst du in den Sicherheitseinstellungen entweder einzelnen Usern, oder von Dir angelegte Usergruppen Zugriffsrechte vergeben.

/edit: Achso und wenn du verhindern willst, daß sich er Benutzer auch auf localen Maschinen einloggen kann (zum Beispiel auf dem Server über die Terminal Server Console, solltest du in den Benutzereigenschaften auf dem Server unter dem Reiter "Konto" noch definieren, auf welchen Maschinen sich der Benutzer anmelden darf

Also ich hab's mir ausgedruckt und mehrmals durchgelesen und versucht nachzuvollziehen, leider vergebens.

Habe ne neue Sicherheitsgruppe angelegt und dem User zugeteilt, damit ich die Standardprimärzuordnung zu "Domänen-Benutzer" löschen konnte. Nu hat er aber immer noch Zugriff aus alles.

Wenn ich dich richtig verstehe, ist das Problem, dass "Jeder" Vollzugriff auf das Netzlaufwerk hat?

Kurz gesagt: Ja

Gut, dann begreife ich so langsam. Danke schonmal.

Aber ich glaub, die Umstellung mach ich besser nicht im laufenden Betrieb.

Besser nicht, sonst läuft dein telefon heiß

Antares, alter VPN-Ruler, da hab ich gleich auch ein Prob.

Mein Zuhä...Arbeitgeber hat mir VPN-Zugriff eingeräumt, den ich korrekt installiert habe. Beim ersten Versuch lief alles glatt, seitdem gibt es immer die Fehlermeldungen 628 oder 800. Auch meine Firewall habe ich mal deinstalliert...bringt nix.

Bei uns in der Firma haben sie keine Ahnung.

Ne Idee? Du darfst mich zur Belohnung auch mal messern.

Äh, da sind die Infos doch ein wenig dürftig. Welchen Client nutzt du denn? Ist das ne Windows Fehlermeldung oder kommt die von dem Client?

Fragen über Fragen...

Huch...äh...nix für ungut...

Ne, angeblich wird die Verbindung zum Server vor dem connecten bereits unterbrochen (Fehler 628) und seltsamerweise schliesst sich meine DSL-Verbindung.

Ich habe normalerweise eine Kerio Firewall, bin 35 Jahre alt und Linksträger.

Was ist denn ein Client? Ich bin der Super-DAU in dieser Beziehung. Wo finde ich den?
Die Fehlermeldung scheint aus dem Windows zu kommen.

Warum hat es beim ersten Versuch funktioniert? Warum danach nie wieder?

Leider bin ich zu unerfahren, um mehr Infos beizubringen...VPN...vorher kannte ich nur ÖPN...

In dem Fall macht vielleicht eine Verabredung im Nudden TS Sinn?;)

Ja, schon, aber nimmer heute, wenn ich Feierabend hab geh ich sowas von pennen

Erhm?? Malli, rennt dein VPN über das Internet??

Und der Client is das Programm, welches die Verbindung aufbaut. Hier auf der Uni haben wir was von Cisco, aber das klappt au so gut wie nie..

Also du gehst quasi ins internet(dein pc ist im internet), dann startest vpn und bist im firmenlan(dein pc ist nicht mehr in internet, sondern jetzt in der firma). Foglich muß die Vpn Software ja mit dem Fehler kommen oder?!

@ Krallzehe - an für sich ist VPN doch nix anderes als wenn die Selber im Lan sind -also an für sich genauso freigeben wie du das im Lan machen würdest... Also so rein von der Logik her.

@ Iob: Ist so nicht ganz richtig Dein PC ist immer noch im Internet, du baust nur einene verschlüsselten Tunnel zu deinem Firmennnetzwerk auf, über den du Zugriff hast. Bei vielen Clients kannst du dann eben alle anderen Subnetzte außer deinem Firmennetz lahmlegen,damit sich kein Trojaner oder ähnliches austoben kann

Hmmm, also wenn unser Admin hier was mit VPN machen muss sieht das immer so aus:

Ja, VPN ist leider nicht so trivial, wie es auf den ersten Blick scheint., Deswegen hab ich bei uns in der Frima eine Security Aplliance mit integriertem VPN Server genommen. Und selbst die hat mit manchen Routern/Firewalls erhebliche Probleme.

@ Oma: Von wo aus hat der Zugang funktioniert? Habt ihr das aus dem lokalen Netz probiert gehabt? Oder ging das schon von Dir zuhause aus? Das Problem sieht für mich nahc ein wenig Recherche zu 99% nach einem Firewall Problem entweder bei Dir oder bei Dir in der Firma aus.

Antares hat geschrieben:Deswegen hab ich bei uns in der Frima eine Security Aplliance mit integriertem VPN Server genommen.

Ich glaub sowas haben wir auch. Ist so ein Kasten der im Serverreck drinsteckt, von der Größe eines Switches. War wohl Sauteuer das Ding.

Ja, aber ist nervenschonender als das übern Windows Server zu machen. Und ne gute Firewall braucht man eh und der Preisunterschied zwischen reinen Firewalls und so nem Ding ist nu nimmer soo groß.

Die meisten Firewalls haben solche "Dinger" eh schon integriert.
Habe sowas auch im Einsatz , sehr praktisch das, hält mir alles vom Leib und die VPN verbindungen funzen auch wunderbar. Allerdings auch ne Lösung mit eigenem Softwareclient.

Der eigene Sofwareclient hat eben auch den Vorteil daß der PSK sich mit der Verbindung exportieren lässt. Ansonsten mußt du externen Leuten immer nen Zettel ausdrucken, auf dem das Ding draufsteht oder den Key per Mail versenden und dann kannst du ihn auch gleich ans schwarze Brett heften. Was benutzt ihr an Firewalls? Wir haben die kleine Sonicwall in Verwendung und ich muß sagen, mit der bin ich schwer zufrieden.

Sonicwall TZ170

Was benutzt ihr als Client? Den Global VPN? Oder den kompatiblen Netware? Ich hab noch den kleine Bruder in Betrieb, die Tele3

Global VPN Client. Bin sehr zufrieden mit der Kombination, ist leicht einzurichten und funktioniert sehr stabil ( es sei denn irgendein Klugscheisser fummelt drann rum )
Einzige Negativerlebnisse: Hardware musste schonmal getauscht werden und das war ein ziemlicher Kampf mit dem Support. Regelmaessige unmotivierte Neustarts der Firewall und dann Supportaussagen wie "Begrenzen sie mal die Portgeschwindigkeits des Switches !"
Und der Client reagiert recht empfindlich wenn die MTU nicht korrekt eingestellt ist.

Ja, das hab ich auch schon gemerkt. Da wir die kleine ohne integrierten Switch benutzten haben wir das Problem mit den unmotivierten Neustarts überhaupt nicht. Und wenn ein Klugscheisser am Client rumfummelt schenk ich immer gelbe Seiten

Wir haben hier als VPN einen "Shiva LANRover Express". Steht jedenfalls vorne drauf, k.a. davon

Die hier auch nicht :

http://www.dooyoo.de/modem-isdn-dsl/shi ... over-plus/

"Alles über die Gottheit Shiva und Einführung in die indische..."